사이버 보안 자동화: 균형 맞추기
오늘날 사이버 보안을 시행하는 방식에는 많은 어려움이 따릅니다. 디지털 혁신은 클라우드 솔루션, 전자상거래 플랫폼, 스마트 디바이스, 그리고 훨씬 더 많은 인력의 분산과 같은 새로운 기술과 비즈니스 모델이 대폭 도입되는 결과로 이어졌습니다. 결과적으로 새로운 위협, 리스크, 사이버 범죄가 증가하는 결과 또한 초래했습니다.
포스트 팬데믹에 접어들면서, 팬데믹 기간 동안 드러난 수많은 리스크와 불확실성, 즉 하이브리드 인력, 공급망 리스크 및 기타 사이버 보안 문제 또한 앞으로 지속될 것으로 전망됩니다.
이와 같은 사이버 보안 문제 몇 가지를 살펴보고 자동화를 통해 균형을 이루는 방법을 알아보겠습니다.
문제: 사이버 보안 인재의 부족
점점 더 빈번해지는 사이버공격의 주요 원인 중 하나는 숙련된 사이버 보안 인력의 부족입니다. 모든 산업 부문에서 드러나고 있는 사이버 위협을 처리할 실무자에 대한 수요에 비해 전 세계적으로 숙련된 사이버 보안 실무자의 수는 극히 낮습니다. 실무자에 대한 수요는 계속 증가하는 반면, 실제 수의 증가율은 낮기 때문에 수요와 공급 간 격차는 점점 더 벌어지고 있습니다.
이 차이는 글로벌 사이버 보안 시장에서 더 극명하게 드러나고 있으며, 솔루션과 제품에 대한 수요가 증가함에 따라 복합적인 비율로 확대될 것으로 예상됩니다. 사이버공격 횟수의 증가, 디지털 혁신 변화, 인력 부족으로 인해 이 증가세는 더 심해질 것이며, 이에 따라 기업은 사이버공격의 리스크를 탐지, 완화하고 감소시킬 수 있는 더 발전된 보안 솔루션을 획득/구축할 것으로 예상됩니다.
자동화, AI와 직업의식
가정 내 간단한 온도 조절 장치부터 병원 내 산소 호흡기까지, 자동화 시스템은 어디에나 존재합니다. 자동화와 AI는 동일한 것이 아니지만, AI 및 머신 러닝(ML)에서 보안 시스템으로 많은 부분이 통합되어 사이버 보안 위협을 자동으로 학습, 감지 및 차단할 수 있습니다. 따라서 단순히 위협에 대해 알리는 대신, 자동화된 시스템은 이를 중화하기 위한 조치를 취할 수 있습니다.
그 중심에서 자동화의 목적은 단 하나, 반복적이고 시간이 소모되는 단순한 작업을 시스템이 수행하도록 하는 것입니다. 이를 통해 부족한 전문 인력이 더 중요한 일 또는 인력의 확인이 필요한 단순한 일에 더 집중할 여유를 가질 수 있습니다. 그 결과는 더 효과적이고 비용 효율적이며 생산적인 사이버 인력으로 나타납니다.
심지어 위협 행위자도 공격을 촉진하기 위해 자동화를 사용하고 있습니다. 인터넷에서 가장 빠른 속도로 실행되는 멀웨어의 하나인 The MyDoom worm은 전파를 위해 자동화를 사용하고 있으며, 이로 인한 피해액은 약 380억 달러로 추산됩니다. 놀라운 것은 지금도 확산되고 있는 MyDoom이 새로운 것이 아니라는 사실입니다. 이는 2004년에 처음 등장한 이후 아직도 인터넷상에서 혼란을 주는 모습이 목격되고 있습니다.
사이버 보안에서 두려운 점은 자동화가 인간을 대체한다는 것입니다. 어느 정도 정당화되긴 했지만, 현실은 자동화가 보안 운영을 수행하는 인력을 보강하고, 경우에 따라 기업이 늘어나는 인재 격차를 보완하고 해결하는 데 도움이 됩니다. 자동화가 진보된 것으로 인식될 수도 있지만, 이는 보안 팀의 감독하에 완전히 구성 가능하고 항상 사람에게 의존합니다. 오히려, 자동화와 AI는 알고리즘 바이어스 감사관이나 기계 리스크 관리 책임자와 같은 새로운 사이버 보안 직무를 탄생시키고 있습니다.
자동화의 이점
자동화는 잠재적 위협의 탐지부터 위협의 억제와 해결까지 많은 업무를 수행할 수 있습니다. 이와 같은 작업은 몇 초 만에 이루어지며 대체로 인력의 개입 없이 수행됩니다. 보안 오케스트레이션, 자동화 및 대응(SOAR)을 통해 제공되는 자동화는 SOC의 실행 능력을 대폭 향상하고, 생산성과 대응 기능을 크게 개선합니다. 2022년 데이터 침해 비용 보고서에서는 데이터 침해의 비용을 반으로 줄이고 식별 및 억제 시간을 최대 77일 줄일 수 있는 자동화의 역할을 강조하고 있습니다.1
오케스트레이션은 운영 환경에서 많은 도구를 활성화하고 플레이북을 통해 원활하게 연결하여 특정 작업을 수행할 수 있는 기능을 제공합니다. 이를 통해 사이버 실무자에게 필요한 모든 정보와 함께 일관되고 반복 가능한 대응 프로세스를 모두 한곳에서 수행할 수 있습니다.
SOAR 내의 AI/ML 엔진을 통한 추가 효율 또한 제공되며, 알림의 특성을 파악하고 이 지식을 사용하여 향후 공격을 예방할 수 있습니다. 처리되는 모든 알림과 이벤트는 미래를 대비하기 위한 목적으로 학습됩니다. 자동화는 민첩하고 선제적인 사이버 보안 기능 활성화의 관점에서 중요한 역할을 수행합니다.
가장 중요한 것은 자동화는 사이버 보안 팀의 알림 피로를 줄이고 귀중한 시간을 되돌려주며 삶의 질을 높이는 데 도움을 준다는 점입니다. 대규모 퇴사가 이루어지고 있는 시대에 직원 유지는 중요한 사안이 되고 있습니다.2 기업이 직원을 유지하면 직원 채용, 지속적인 교육 및 업무에 대해 학습한 암묵적인 지식을 통해 상당한 투자를 달성할 수 있다는 사실을 인지하고 직원에 대한 ROI를 높일 수 있습니다.
자동화는 기업의 인재난을 해결하는 데 도움이 됩니다. 또한 현재 도구와 기술을 오케스트레이션 프로세스의 일부로 참여시켜 더 높은 ROI를 실현할 수 있게 됩니다.
어디에서 시작할 것인가?
자동화의 필수 요건은 데이터의 수집과 상관관계 수립에서 시작합니다. 우수한 자동화 시스템을 위해서는 양질의 데이터가 효율적이고 효과적으로 작동해야 합니다. 데이터 소스가 더 많을수록 운영의 질 또한 높아집니다.
엔드포인트, 네트워크 및 클라우드 등 비즈니스 환경의 모든 측면에서 데이터를 수집하는 것을 목표로 해야 합니다. 자동화 플랫폼 내의 AI/ML 시스템을 통해 이 모든 데이터의 분석과 상관관계 수립이 더 쉬워집니다. 이 두 가지 구성 요소를 통해 사이버 보안 자동화를 실현할 수 있습니다.
다음으로, 현재의 표준 운영 절차(SOP)를 분석하고, 주기적으로 반복되는 활동/프로세스, 즉 워크로드를 줄이고 알림을 간과할 리스크가 낮은 활동/프로세스를 찾습니다. 예측할 수 없는 방식으로 벗어나거나 변화하지 않는 작업을 찾습니다. 이것이 자동화에 가장 적합한 작업이라 할 수 있습니다.
이제 통합을 지원하는 필수 API(또는 작성)와 함께 해당 프로세스 내에서 오케스트레이션해야 하는 도구를 식별합니다.
마지막으로, 플레이북을 생성합니다. 이를 통해 시간 경과에 따라 프로세스를 일관되게 복제하고 개선할 수 있는 기능을 제공함으로써 프로세스 전체를 제어할 수 있습니다. 필요한 모든 구체적인 작업, 수행할 도구, 기타 추가 작업(차단, 통지, 억제 등)을 포함시킵니다.
자동화의 올바른 유지
사이버 보안은 디지털 혁신을 맞이한 환경에서 비즈니스가 기업 데이터, 인력, 고객을 보호하기 위한 필수 요소입니다. 그러나 공격자 또한 혁신을 거듭하며 접근 방식 역시 점점 교활해지고 있기 때문에 사이버 보안의 구현만으로는 충분하지 않습니다.
기업이 기술 발전과 함께 디지털 혁신 이니셔티브를 계속 추구한다면, 사이버 보안의 자동화는 단순한 권장 사항이 아닌, 균형을 맞추기 위한 의무입니다.
1. 2022년 데이터 침해 비용 보고서, IBM Security, 2022년 7월.
2. Paula Morgan, "Top Five Tips For Retaining Employees During The Great Resignation," Forbes, 2022년 8월 4일.